Microsoft Entra ID y requisito 2 de PCI-DSS
Requisito 2: Aplicar configuraciones seguras a todos los componentes del sistema
Requisitos de enfoque definidos
2.1 Los procesos y mecanismos para aplicar configuraciones seguras a todos los componentes del sistema se definen y entienden.
| Requisitos de enfoque definidos por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 2.1.1 Todas las directivas de seguridad y procedimientos operativos identificados en el requisito 2 son: documentados se mantienen actualizados en uso conocidos por todas las partes afectadas |
Usa la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración del entorno. |
| 2.1.2 Las funciones y responsabilidades para llevar a cabo las actividades del requisito 2 están documentadas, asignadas y comprendidas. | Usa la guía y los enlaces que se indican a continuación para elaborar la documentación que cumpla los requisitos en función de la configuración del entorno. |
2.2 Los componentes del sistema se configuran y administran de forma segura.
| Requisitos de enfoque definidos por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 2.2.1 Los estándares de configuración se desarrollan, implementan y mantienen para: Cubrir todos los componentes del sistema. Soluciona todas las vulnerabilidades de seguridad conocidas. Sé coherente con los estándares de protección del sistema aceptados por el sector o las recomendaciones de protección de proveedores. Mantente actualizado a medida que se identifican nuevos problemas de vulnerabilidad, tal como se define en el Requisito 6.3.1. Aplica cuando los nuevos sistemas se configuren y verifiquen antes o inmediatamente después de que un componente del sistema se conecte a un entorno de producción. |
Consulte, Guía de operaciones de seguridad de Microsoft Entra |
| 2.2.2 Las cuentas predeterminadas del proveedor se administran de la siguiente manera: si se utilizarán las cuentas predeterminadas del proveedor, la contraseña predeterminada se cambia según el Requisito 8.3.6. Si no se usarán las cuentas predeterminadas del proveedor, la cuenta se quitará o deshabilitará. |
No es aplicable a Microsoft Entra ID. |
| 2.2.3 Las funciones principales que requieren distintos niveles de seguridad se administran de la siguiente manera: solo existe una función principal en un componente del sistema o funciones principales con distintos niveles de seguridad que existen en el mismo componente del sistema se aíslan entre sí, o las funciones primarias con diferentes niveles de seguridad en el mismo componente del sistema están protegidas al nivel requerido por la función con la mayor necesidad de seguridad. |
Obtén más información sobre cómo determinar los roles con privilegios mínimos. Roles con privilegios mínimos por tarea en Microsoft Entra ID |
| 2.2.4 Solo se habilitan los servicios, protocolos, demonios y funciones necesarias, y se quita o deshabilita todas las funcionalidades innecesarias. | Revisa la configuración de Microsoft Entra y deshabilita las características que no se usan. Cinco pasos para proteger la infraestructura de identidad Guía de operaciones de seguridad de Microsoft Entra |
| 2.2.5 Si hay presentes servicios, protocolos o demonios inseguros: se documenta la justificación comercial. Se documentan e implementan características de seguridad adicionales que reducen el riesgo de usar servicios, protocolos o demonios no seguros. |
Revisa la configuración de Microsoft Entra y deshabilita las características que no se usan. Cinco pasos para proteger la infraestructura de identidad Guía de operaciones de seguridad de Microsoft Entra |
| 2.2.6 Los parámetros de seguridad del sistema están configurados para evitar el mal uso. | Revisa la configuración de Microsoft Entra y deshabilita las características que no se usan. Cinco pasos para proteger la infraestructura de identidad Guía de operaciones de seguridad de Microsoft Entra |
| 2.2.7 Todo el acceso administrativo que no sea de consola se cifra mediante criptografía fuerte. | Las interfaces de Microsoft Entra ID, como el portal de administración, Microsoft Graph y PowerShell, se cifran en tránsito mediante TLS. Habilitar la compatibilidad con TLS 1.2 en el entorno para el desuso de TLS 1.1 y 1.0 de Microsoft Entra |
2.3 Los entornos inalámbricos se configuran y gestionan de forma segura.
| Requisitos de enfoque definidos por PCI-DSS | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| 2.3.1 En el caso de los entornos inalámbricos conectados al CDE o la transmisión de datos de la cuenta, todos los valores predeterminados del proveedor inalámbrico se cambian en la instalación o se confirma que son seguros, incluidas las claves de cifrado inalámbrica predeterminadas Contraseñas de cifrado inalámbrico predeterminadas en los puntos de acceso inalámbrico SNMP predeterminados Cualquier otro valor predeterminado de proveedor inalámbrico relacionado con la seguridad |
Si la organización integra puntos de acceso de red con Microsoft Entra ID para la autenticación, consulte Requisito 1: instalar y mantener controles de seguridad de red. |
| 2.3.2 Para ambientes inalámbricos conectados al CDE o transmitiendo datos de cuentas, las claves de encriptación inalámbrica se cambian de la siguiente manera: Siempre que el personal con conocimiento de la clave abandone la empresa o el rol para el cual el conocimiento era necesario. Siempre que se sospeche o se sepa que una clave está comprometida. |
No es aplicable a Microsoft Entra ID. |
Pasos siguientes
Los requisitos 3, 4, 9 y 12 de PCI-DSS no son aplicables a Microsoft Entra ID, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.
Para configurar Microsoft Entra ID de modo que cumpla con PCI-DSS, consulte los siguientes artículos.
- Guía de Microsoft Entra PCI-DSS
- Requisito 1: instalar y mantener controles de seguridad de red
- Requisito 2: aplicar configuraciones seguras a todos los componentes del sistema (Estás aquí)
- Requisito 5: proteger todos los sistemas y redes de software malintencionado
- Requisito 6: desarrollar y mantener sistemas y programas informáticos seguros
- Requisito 7: restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial
- Requisito 8: identificar a los usuarios y autenticar el acceso a los componentes del sistema
- Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas
- Requisito 11: Probar periódicamente la seguridad de sistemas y redes
- Guía de autenticación multifactor de PCI-DSS de Microsoft Entra